資安設備採購趨勢分析(2)　 善用端點防護提高資安防護效率　藉由聯合防禦有效杜絕駭客攻擊事件

新一代的防火牆應該要能辨識各種應用程式，以及使用者的詳細資料。

前言：
以往讓資安設備獨立運作的防禦模式，顯然已經無法抵禦駭客詭譎多變的攻擊手法，尤其對工作量龐大的資訊部門更是一場夢魘。隨著端點防禦成為各資安設備廠商的共識，藉由聯合防禦的概念應該能有效能夠降低駭客入侵機率，加上醞釀已久的次世代防火牆已經問世，應該能杜絕以合法掩護非法攻擊的行為模式，協助企業打造更完善的資安防護架構。

本文：
在全球搜群引擎龍頭Google推出的Gmail、Google Doc大受歡迎，以及台灣廠商大舉推出Netbook、MID等上網裝置後，加上全球各大城市都全力建置無線上網熱點，商務人士的辦公環境不再拘泥於企業內部或分公司，幾乎隨時隨地都可以連回企業內部存取各種資源，也讓資訊部門面臨病毒、惡意程式隨時可能入侵企業內部的風險。為了協助企業用戶有效建置安全無虞的網路環境，許多資安廠商便推出了具備聯合防禦概念的端點防護(Network Access Control；NAC)，也就是將企業防毒軟體、防毒閘道器、防火牆、整合式威脅防禦設備(Unified Threat Management；UTM)、入侵偵測設備等資安設備串連在一起，透過協同運作的方式防止病毒或惡意程式入侵與擴散。

端點防護成主流　企業防毒軟體扮要角

隨著駭客攻擊的手法愈來愈多樣化，病毒、蠕蟲、惡意程式的入侵管道也愈來愈多，企業內部的電腦不在只是會遇到單純的中毒問題，還包含近年來愈來愈流行網頁綁架、網路釣魚，甚至被植入木馬程式變成駭客攻擊跳板的殭屍電腦等等。所以新一代的防毒軟體不但具備傳統的防止病毒入侵功能外，還得整合入侵防禦、個人防火牆等功能，堪稱是端點防護中扮演最重要的色之一。

相較於針對消費市場設計防毒軟體，企業版本防毒軟體最大的特色就是具備中央控管功能，利用一台防毒伺服器監控企業內部用戶端電腦的運作狀況，甚至主動派送病毒碼，不但可以降低企業內部電腦更新病毒碼時的連外頻寬需求，也可以避免因為用戶端病毒碼版本過舊，無法偵測到最新的病毒種類導致中毒。然而傳統防禦方式只能夠阻擋病毒入侵，無法完全防堵目前駭客最喜歡採用的漏洞攻擊手法。

根據許多資安廠商提供的研究報告顯示，許多駭客都是將先病毒、蠕蟲透過電子郵件或網頁植入員工的家中的電腦，或是在企業外部上網的筆記型電腦中。當該員工將筆記型電腦帶回企業內部網路使用時，就等於躲過了防火牆等資安設備的偵察，最後在特定時間開始爆發病毒攻擊後，網管人員就得開始手忙腳亂的逐台清除，也宣告企業內部防毒政策形同失效。

新一代採用端點防護規範設計企業版防毒軟體，就是為了協助企業解決上述的問題所設計，希望藉此整合企業內部的資安設備，建立滴水不漏的防禦系統。新版本的企業版防毒軟體，除了在用戶端整合入侵防禦、個人防火牆功能之外，中央防毒伺服器本身還能夠與同樣支援端點防護功能的交換器、防火牆連線，目前多半是以IEEE 802.1x為溝通協定，一旦發現用戶端電腦有不正常的網路封包發散行為，就會通知交換器將該部電腦的網路封包鎖住，避免病毒在企業內部散播。

其次，防火牆也會根據中央防毒伺服器所提供的資料，直接將網際網路上可以的IP位址封鎖，除了避免企業內部其他電腦存取該網站資料受到感染之外，也可以避免企業內部機密資料被駭客竊取。除此之外，考量到雲端運算概念逐漸形成，許多企業員工攜帶筆記型電腦在外工作的比例愈來愈高，從企業外部存取內部伺服器中資源的比例也愈來愈高，透過新一代企業防毒軟體安全防護機制，可以讓外部電腦連回企業內部網路後，先透過中央防毒伺服器確認病毒碼版本無誤後，才允許存取企業內部資源，已杜絕駭客透過合法電腦入企業的問題發生。

垃圾郵件整合防毒功能　防毒閘道器功能強大

先前我們曾經提到，病毒或蠕蟲最常入侵企業的管道之一，多半是藉由電子郵件大量散播，尤其是近幾年來垃圾郵件數量暴增的問題，更成為企業最頭痛的問題，也讓杜絕垃圾郵件與防堵電子郵件夾帶病毒，就成為企業用戶最關心的兩件事情。早期由於垃圾郵件尚未被資安廠商重視，市面上曾經有許多單功能的防毒牆或防毒閘道器，也就是針對進出企業內部的每封郵件，甚至於每個封包進行詳細檢查，已降低病毒或蠕蟲入侵的機率。

然而隨著垃圾郵件的數量逐漸暴增，市面上幾乎找不到單功能的防毒牆或防毒閘道器，多半整合了垃圾郵件過濾的功能，以提供企業用戶最完整的保護機制。這類產品目前大概可以分成2類，第1類是資安廠商如趨勢、賽門鐵克等公司推出的解決方案，也就是在原有針對電子郵件伺服器設計的防毒產品上，加上垃圾郵件過濾的功能，透過黑白名單比對的方式，直接將垃圾郵件阻擋在企業網路之外，不但能減少電子郵件伺服器的工作負擔，還能夠降低用戶端電腦中毒的機率。

另一種解決方案則是由郵件代管業者提供的解決方案，例如以郵件代管打響名號的網擎科技、中華數位等等，都是看準多數中小企業缺乏專職IT人員，所以很早就開始推出郵件代管服務，協助企業用戶降低電子郵件管理的成本支出。隨著垃圾郵件氾濫，郵件代管業者也很早就將觸角深入垃圾郵件過濾的領域，甚至採用ClamAV病毒掃描引擎，協助企業過濾含有病毒的電子郵件。

在沒有經過詳細測試之前，很難評資安廠商或是郵件代管業者的資安設備好壞，但是由於整合垃圾郵件過濾的防毒閘道器，必須在很短時間內完成郵件過濾、甚至於封包過濾的工作，所以當資料處理的速度不夠快時，就很容易影響企業網路的正常運作，所以購買之前的實機測試就變得非常重要。

UTM功能日趨多樣化　採購前注意產品適用人數

受限於IT預算有限的問題，具備防火牆、入侵防禦及閘道防毒等3項功能的UTM，一直是中小企業最受歡迎的商品，有些廠商甚至還加入SSL VPN、垃圾郵件過濾等功能，藉由降低建置成本與管理負擔吸引企業用戶採購。不可否認，單一功能的資安設備確實可以提供較佳效能，但是在企業員工人數不多，又缺乏專職IT人員的協助時，以單一台多功能的UTM取代多台資安設備是值得一試的作法，然而效能卻也是許多企業用戶最擔心的問題。

近年來UTM幾乎都採取專屬的ASIC晶片，相較於以往採用Pentium系列處理器的模式，確實可以提供比較優異的封包過濾效能，但是當所有的功能如IPS、閘道防毒、防火牆功能都開啟時，很容易就發現會出現效能瓶頸。以最複雜的閘道防毒功能為例，由於封包經過設備的時候，掃毒引擎必須將每個封包後，才能判斷是否夾帶病毒或惡意程式，所以必須消耗大量處理器資源，也導致UTM的整體效能受到相當大的影響。

另一方面，許多國產品牌的產品受限於本身研發能力有限，多半採用Linux平台上的免費軟體，以 IPS功能為例，幾乎都是採用Snort的套件修改而來，至於防毒軟體的掃描引擎，幾乎清一色採用ClamAV。雖然這類軟體的功能不一定比付費軟體要來的差，但是比較令人擔心的之處在於駭客也能取得原始碼，自然入侵成功的機率也比較大。

受限於UTM設備的效能比不上單一種類的資安產品，所以廠商都會針對每台產品提供建議的連線數量，因為同一時間的連線數量愈多，封包過濾的效能也會隨著下跌，若開啟愈的功能愈多，則能夠負載的連線數也會隨之減少。只不過各家廠商提供的效能數據，都是以單一功能環境下進行測試所得的資料，不能代表實際連接到企業網路後也能得到相同表現，所以實際測試仍然是購買前不可缺少的事項。

次世代防火牆已問世　將可有效解決應用程式漏洞

近年來隨著資安威脅的手法越來越多，尤其惡意程式或蠕蟲幾乎都是針對應用程式漏洞發動攻擊，防火牆所扮演的角色也愈來愈吃重，光是原有的封包過濾、VPN、傳輸協定檢測等功能，已經無法協助企業抵擋駭客攻擊，因此市面上也有許多廠商推出號稱次世代防火牆(Next Generation Firewall；NGFW)的產品。 全球知名的市調機構Gartner，在2009年底公布了1份名為 「Defining the Next Generation Firewall」報告，表示次世代防火牆應該具備的功能，除了NAT、封包過濾、VPN、傳輸協定檢測等傳統防火牆的功能外，還要具備封包檢測或執行安全政策的功能執行的據點；並且擁有傳統防火牆的功能，如NAT、封包過濾、VPN、傳輸協定檢測等，甚至應支援應用層協定，能夠詳細辨識與管理各種應用程式的運作狀態等功能。

儘管傳統防火牆辨幾乎清一色都已經採用專屬ASIC晶片提高效能，其資料處理速度之快以應足處理Gigabyte等級的封包量。然而由於依照檢查封包的來源、連接埠等來源，進行詳細的封包過濾，減少被惡意程式攻擊的機率。然而由於新型態的攻擊手法都是躲在合法應用程式之後，例如先前經常見到的MSN病毒，就是會利用MSN發送夾雜惡意網址連結訊息給清單中所有的人，吸引粗心大意的使用者點閱，最後導致在瀏覽網頁的過程中被植入木馬或惡意程式。這種以合法掩護非法的攻擊手法，根本不是傳統防火牆以封包或連接埠檢測能夠檢測出來，所以很容易形成企業資安防禦上的漏洞。

但是具備辨識應用程式能力的次世代防火牆，就可以協助企業用戶解決這類問題。由於次世代防火牆能夠掌握應用程式的特性，甚至能詳細控制應用程式的細部功能，例如關閉MSN檔案傳輸的功能，以避免接收包含有病毒或惡意程式在內的檔案。以Palo Alto推出的防火牆為例，就具備識別高達900多種不同的應用程式，而且還提供圖像化的分析報表，完整呈現每種應用程式所佔用的頻寬，甚至於使用者資訊等等，並且協助企業用戶訂製更完善的資安政策，並且在發生問題時能快速找到問題癥結。

免費防毒軟體功能有限　企業用戶得多費心

儘管藉由資安廠商推出的端點防禦，可以提供企業用戶還不錯的防禦能力，尤其隨著次世代防火牆陸續問世，也能夠更精準的防堵駭客攻擊，不過對於幾乎沒有IT預算，人數又少於10人的小公司來說，根本不可能添購昂貴的端點防護設備，因此市面上愈來愈多的免費軟體就愈來愈受到矚目。既然是免費的防毒軟體的防毒軟體，就絕對沒有提供中央管理的功能，頂多只能針對單一部電腦提供防禦功能。以近來最後矚目的小紅傘為例，就僅提供檔案防毒的功能，連最基本的電子郵件防毒功能都省略了，更遑論間諜軟體掃描、惡意程式過濾、防火牆等等功能。

有鑑於免費防毒軟體小紅傘如此受到歡迎，許多資安廠商也開始推出各種免費的資安工具，包含趨勢科技等等在內的資訊廠商，也都有免費的防護小工具可以用。此外，在Google的軟體集中，也多了1項可以免費下載的防護程式，是由PC Tools推出的Spyware Doctor，可以避免間諜程式入侵。有興趣的用戶也可以直接上PC Tools公司，www.pctools.com/zh/ 查詢相關資料。